我正在寻找有关使用指纹/touchID/FaceId 从我们的移动应用程序进行替代身份验证的最佳实践。
目前,我们的客户使用用户名/密码向 REST API 进行身份验证并接收 JWT 令牌。然后,该令牌会附加到对 API 的每个安全请求。
用户从移动键盘输入密码并不总是很方便,因此我尝试使用指纹、faceID、touchID 等生物识别身份验证来实现一种更简单的登录方式...
在我看来,工作流程如下:
我们总是有经典的用户名/密码后备。
我在 stackoverflow 上阅读了很多帖子,并在 Google 上搜索了解决方案,但似乎没有一个解释后端安全实现的用例。
我已经在我的应用程序移动设备上实现了指纹扫描仪并获得成功回调。我在我的 Xamarin 项目中使用这个库来获取生物识别身份验证: https: //github.com/smstuebe/xamarin-fingerprint
您能告诉我如何实施吗?在后端和客户端之间存储通用令牌是最好的方法吗?密钥库/钥匙串安全吗?我错过了什么吗?
非常感谢,
问候